1 De quoi parle-t-on ?
La nécessité croissante pour un organisme (entreprise industrielle, prestataire de services, distributeur…) de démontrer son aptitude à fournir un produit ou service conforme à des exigences clients, comme de démontrer son aptitude à satisfaire ce client (voire accroître sa satisfaction), a généré deux effets depuis les années 1990 :
– le développement de référentiels normatifs énonçant des principes, des lignes directrices voire des exigences d’organisation (prenons pour exemple la norme NF EN ISO 9001, Systèmes de management de la qualité – Exigences) ;
– le développement de certifications sur ces référentiels normatifs, certificats attribués par des entités tierce partie indépendantes du client de l’organisme certifié.
L’entreprise souhaitant être certifiée choisit un référentiel (sauf dans les cas où ce référentiel lui est imposé contractuellement ou recommandé stratégiquement par ses clients), met en œuvre les exigences de ce référentiel et, afin de faire reconnaître son aptitude, se fait auditer par un organisme tiers (accrédité et/ou notifié par une autorité compétente pour ce type d’évaluation). Dans le cas des référentiels de systèmes de management, cet organisme certificateur vient, selon les référentiels, vérifier la conformité et l’efficacité de l’entreprise. Il s’agit alors pour celle-ci de démontrer sa maîtrise du risque : un risque qualité dans le cadre des certifications qualité, ou par exemple un risque environnemental sur des certifications comme la NF EN ISO 14001, Système de management environnemental – Exigences. La nature du risque peut également toucher la santé et la sécurité au travail, la maîtrise de l’énergie, les systèmes d’information, etc.
Ce type de certification, avec la mise en œuvre de systèmes de management (qualité, sécurité, environnement, etc.), génère différents types d’audit, des audits internes dits « première partie » (ce sont des audits exigés par lesdits référentiels) comme des audits externes « tierce partie » (en complément et/ou en substitution d’audit seconde partie, autrement dit les audits clients), qui sont en quelque sorte une attestation donnée par un évaluateur qui n’est ni juge ni partie.
Les audits internes comme les audits externes sont par principe des audits programmés. Les audits internes sont programmés selon l’importance des processus et des activités (aspect risque), mais également selon les résultats des audits précédents. Cette programmation est sous la responsabilité de l’organisme. Quant aux audits externes tierce partie, également programmés, ils se font dans un cadre contractuel entre l’organisme audité et l’organisme certificateur, sur un cycle qui dépend du type de certification, avec des audits qui sont donc annoncés.
Or, depuis quelques années, on voit apparaître de la part de ces certificateurs la mise en œuvre d’audits non programmés, dont la date n’est pas annoncée à l’audité. Ces audits sont qualifiés d’« audits inopinés ». C’est la surprise de l’auditeur !
Pourquoi ces audits ? Comment se présentent-ils ?